Worldline - Document d'enregistrement universel 2019

C

DESCRIPTION DES ACTIVITES DU GROUPE Worldline : une société réglementée

Authentification forte sous la C.4.1.3 DSP2

acquéreur…) y compris les marchands et consommateurs positionnement pour s’accorder sur un plan d’action. L’option de l’EBA recommande aux NCAs de s'accorder sur une approche consistante en vue d’attendre l’objectif de la mise en place de l’Authentification forte (SCA) dans les délais spécifiés et demande aux prestataires de services de paiement de mettre en place toutes les actions nécessaires. Le Groupe a un programme dédié à la gestion des impacts relatifs à cette législation sur ces processus et ses clients (marchands et banques). Le Groupe participe activement aux divers groupes de travail mis en place par les régulateurs locaux, afin de mettre en œuvre ces migrations vers l’Authentification forte dans les délais requis.

L’Autorité Bancaire Européenne (ABE) a publié, le 16 octobre 2019, une opinion relative à la date limite de migration vers l'authentification forte des transactions par cartes e-commerce sous DSP2. Cette opinion prévoit de fixer la nouvelle date limite de transposition au 31 décembre 2020 et prévoit de mettre en place les actions nécessaire, durant la période de migration. Les authorités nationales (NCA) peuvent décider de travailler avec les divers intervenants de l’écosystème de paiement (par exemple, prestataire de services de paiement, émetteur, Le Groupe n’est soumis à aucune réglementation spécifique au titre de ses activités exercées en dehors de l’Espace économique européen, à l’exception : De l’Inde, où le Groupe exerce des activités d’acquisition ● d’ordres de paiement ( acquiring ) et d’émission de moyens de paiement ( issuing processing ) pour des montants limités et pour lesquelles il est soumis à une réglementation locale ; Du Vatican, où SIX Payment Services AG, une filiale du ● Groupe basée en Suisse, est autorisée par l’autorité de Le Groupe Worldline met en œuvre les processus définis par les instances internationales de normalisation telles qu’ISO 9001 (qualité), 27001 (sécurité) et 14001 (exigences environnementales des infrastructures technologiques). Pour certaines activités spécifiques, le Groupe Worldline développe et met en œuvre des solutions d’infrastructures propres à un secteur ou des services en mode Cloud sécurisé certifiées par les instances nationales correspondantes (données de santé par exemple). Le Groupe met également en œuvre les contrôles correspondants aux exigences internationales de sécurité telles qu’EMV pour la sécurisation des cartes de paiement. A ce titre, il participe activement à l’EMV User Group (Europay MasterCard Visa User Group). En tant que fournisseur de solutions de paiement, et notamment de terminaux, le Groupe supporte l’ensemble des normes développées par le PCI-SSC ( Payment Card Industry – Security Standard Council ). Ces normes de sécurité visent à améliorer la sécurité des données des cartes par l’adoption massive de normes spécifiques relatives aux différents composants d’une transaction de paiement par carte. Parmi celles-ci, PCI-PTS ( Payment Card Industry – Pin Transaction Security ), anciennement PCI-PED (Payment Card Industry – PIN Entry Device) est une des plus importantes. Elle a comme objectif de garantir que le code confidentiel du porteur de carte fasse toujours l’objet d’un traitement sécurisé Respect des normes techniques C.4.3

Réglementation applicable hors de l’Espace économique européen C.4.2

l’Etat du Vatican à fournir des terminaux de paiement et des services d’acquisition d’ordres de paiement ( acquiring ) au sein du Vatican en tant qu’entité auxiliaire conforme à la règle No. I sur la « Supervision prudentielle d’entités en charge d’activités financières professionnelles ». Concernant de la situation au Royaume-Uni, le Groupe dispose d'un Régime d’accès Temporaire pour assurer l’accès au marché du Royaume-Uni après le Brexit en attendant qu’une licence locale puisse être obtenue.

au niveau du dispositif d’acceptation du code et présente le plus haut niveau de sécurité pour les transactions de paiement. PCI-SSC et PCI-DSS ( Payment Card Industry – Data Security Standard ), visent quant à elles à sécuriser la confidentialité des données durant la réalisation d’une transaction tandis que PCI-UPT ( Payment Card Industry – Unattended Payment Terminal ) s’adresse elle spécifiquement à la sécurité spécifique aux modules de paiement sur automate. Les évolutions de ces normes impliquant des modifications régulières au niveau des exigences en place sont gérées par les membres fondateurs du PCI-SSC : Visa, MasterCard, JCB, American Express et Discover, en consultation avec les autres acteurs du secteur des paiements électroniques (fabricants de terminaux de paiements, régulateurs, commerçants, associations de banques, banques, prestataires de traitement, etc.). A ce titre, le Groupe Worldline participe activement au Groupe de travail européen sur la standardisation des protocoles en la matière. A titre d’exemple, le Groupe a obtenu la certification PCI-DSS ( Payment Card Industry – Data Security Standard ) de sa plate-forme de paiement en ligne sécurisée et de son service Paylib (porte-monnaie électronique basé sur le Cloud). Cette norme vise à garantir que les données confidentielles du porteur de carte ainsi que les données sensibles des transactions fassent systématiquement l’objet d’un traitement sécurisé au niveau des systèmes et bases de données.

64

Document d’Enregistrement Universel 2019